Citrix Secure Private Access

Découvrir les domaines ou les adresses IP auxquels accèdent les utilisateurs finaux

La fonctionnalité de découverte d’applications aide un administrateur à obtenir une visibilité sur les applications externes et internes (applications HTTP/HTTPS et TCP/UDP) auxquelles une organisation accède. Cette fonctionnalité découvre et répertorie tous les domaines/adresses IP, publiés ou non publiés. Ainsi, les administrateurs peuvent voir quels domaines/adresses IP sont consultés, par qui, et décider s’ils souhaitent les publier en tant qu’applications, en fournissant l’accès à ces utilisateurs.

La fonctionnalité de découverte d’applications fournit les capacités suivantes aux administrateurs :

  • Fournit une visibilité sur les domaines/adresses IP internes ou externes auxquels accèdent les utilisateurs finaux.
  • Fournit une visibilité complète sur tous les types d’applications accessibles (HTTP, HTTPS, TCP et UDP). Toutes les méthodes d’accès sont prises en charge, c’est-à-dire l’accès via Citrix Enterprise Browser, Secure Access Agent, Direct Access ou Workspace for Web.
  • Affiche les domaines/adresses IP publiés ou non publiés auxquels accèdent les utilisateurs finaux.
  • Affiche à la fois le domaine principal et ses domaines intégrés sous-jacents qui doivent être configurés en tant que domaines associés lors de la publication des applications pour l’accès via Citrix Enterprise Browser.
  • Affiche les domaines intégrés dans une structure arborescente. Les administrateurs peuvent cliquer sur le signe de développement (>) en ligne avec le domaine principal pour afficher les domaines intégrés.
  • Permet aux administrateurs de créer de nouvelles applications ou d’ajouter ces domaines à une application existante si un domaine principal ou un domaine intégré (HTTP/HTTPS) ou l’adresse IP de destination (TCP/UDP) n’est pas associé à une application.

La figure suivante affiche un exemple de page de découverte d’application . La page Découverte d’application permet de filtrer les domaines en fonction du protocole (HTTP/HTTPS, TCP/UDP) et de l’adresse de domaine/IP et des numéros de port. Il affiche également les domaines non publiés (non attribués à une application) auxquels accèdent les utilisateurs finaux. Vous pouvez voir un domaine principal avec une liste déroulante de domaines intégrés en dessous. Ces domaines doivent être configurés comme domaines associés lors de la publication de l’application.

Page de découverte d'applications

Remarque

  • Les domaines intégrés sont regroupés sous le domaine principal uniquement pour les applications HTTP/HTTPS accessibles via Citrix Enterprise Browser. Les domaines TCP/UDP ne sont pas regroupés sous un domaine principal.
  • Le regroupement de domaines intégrés n’est disponible que pour les applications accessibles à partir de Citrix Enterprise Browser (v119 et versions ultérieures).

Découverte d’applications pour les domaines internes dans un nouvel environnement

La fonctionnalité de découverte d’applications peut être utilisée si vous configurez un nouvel environnement d’accès privé sécurisé et souhaitez avoir une visibilité sur les applications à configurer. Cette fonctionnalité détecte et répertorie tous les domaines/adresses IP auxquels vos utilisateurs finaux accèdent afin que vous puissiez les configurer en tant qu’applications. Suivez les étapes suivantes pour activer la fonctionnalité de découverte d’applications lorsque vous configurez votre environnement Secure Private Access :

  • Pour découvrir des applications Web internes, configurez une application dans Secure Private Access et spécifiez le domaine associé au caractère générique qui appartient au domaine/sous-domaine des applications que vous souhaitez découvrir.

    Par exemple, si vous souhaitez découvrir toutes les applications avec le domaine citrix.com, créez une application avec un domaine générique associé comme *.citrix.com. Pour permettre l’achèvement de la configuration de l’application, ajoutez n’importe quelle URL de test comme section URL principale de l’application Web.

    Configurer pour la découverte d'applications1

    URL de l’application Web : https://test.citrix.com/ Domaine associé : *.citrix.com

  • Pour les applications TCP/UDP internes, configurez une application dans Secure Private Access et spécifiez le sous-réseau ainsi que le protocole TCP/UDP et la plage de ports (saisissez * pour inclure la plage entière). Cela permet de découvrir toutes les applications TCP et UDP à partir de l’agent Citrix Secure Access. Par exemple, si vous souhaitez découvrir toutes les applications du sous-réseau 10.0.0.0/8, configurez l’application avec les détails suivants : Exemple : 10.0.0.0/8 :

    Port: (*)

    Protocole : TCP

    Configurer pour la découverte d'applications2

  • Une fois les applications créées, vous devez également définir les utilisateurs autorisés à accéder aux applications avec les domaines et sous-réseaux IP configurés. Créez une politique d’accès et attribuez les utilisateurs auxquels vous souhaitez autoriser l’accès aux noms de domaine complets/adresses IP configurés dans les applications créées. Il peut s’agir d’un ensemble initial d’utilisateurs de test ou d’un nombre limité d’utilisateurs auxquels vous souhaitez donner accès initialement.

  • Après avoir créé les applications et les stratégies d’accès correspondantes, les utilisateurs peuvent continuer à accéder aux applications depuis l’application Citrix Workspace et accéder à différents domaines. Toutes les adresses FQDN/IP auxquelles accèdent les utilisateurs finaux commencent à s’afficher sur la page Découverte d’applications.

Remarque

  • Une fois que vous avez découvert et identifié la plupart des applications en quelques jours/semaines, nous vous recommandons de supprimer les applications initialement créées afin que l’accès plus large donné via les domaines génériques et les sous-réseaux IP puisse être fermé, et que seules les URL d’application et les adresses IP spécifiques découvertes soient autorisées à accéder via les nouvelles applications.
  • Ajoutez le préfixe Discover dans le nom de l’application pour indiquer qu’il s’agit d’une configuration d’application spéciale permettant d’activer la surveillance et la création de rapports de découverte. Cette dénomination vous aide à identifier la suppression des domaines génériques ou des sous-réseaux IP ou des deux afin que vous puissiez réduire la zone d’accès globale de l’application aux seuls noms de domaine complets et combinaisons IP/port spécifiques plus tard dans les semaines ou dans un mois.
  • Pour accéder aux applications TCP/UDP, les utilisateurs doivent utiliser l’agent Citrix Secure Access. L’accès aux applications à partir de différentes méthodes d’accès est surveillé en fonction de la configuration des domaines et des sous-réseaux des applications et signalé dans la page App Discovery .
  • Même après avoir supprimé les applications découvertes, cette fonctionnalité continue de découvrir les domaines/adresses IP auxquels vos utilisateurs accèdent. Ainsi, à tout moment, vous pouvez revenir à la page App Discovery pour voir à quoi vous accédez et si de nouveaux domaines/adresses IP ont été découverts et doivent être configurés en tant qu’applications.

Pour plus de détails sur l’ajout de domaines, de noms de domaine complets ou d’adresses IP, consultez les rubriques suivantes.

Créer une application à partir de la page de découverte d’applications

Pour créer une application pour des domaines intégrés ou des domaines non publiés à partir de la page Découverte d’applications , procédez comme suit :

  1. Accédez à Applications > Découverte d’applications.
  2. Sélectionnez un domaine dans la liste. Si le domaine contient des domaines intégrés, cliquez sur le signe de développement (>) en ligne avec le domaine principal et sélectionnez les domaines intégrés.

Remarque

  • Vous ne pouvez pas sélectionner des domaines appartenant à des protocoles différents pour créer une application. Un message d’erreur s’affiche lorsque vous sélectionnez des domaines appartenant à des protocoles différents.
  • Si un domaine est déjà associé à une application, vous ne pouvez pas sélectionner à nouveau ce domaine pour créer une application. La case à cocher correspondant à ce domaine apparaît grisée et lorsque vous passez la souris sur la case à cocher, une info-bulle apparaît.
  • Vous ne pouvez pas sélectionner et ajouter des domaines intégrés regroupés sous différents domaines principaux à une application. La fonctionnalité de découverte d’applications permet uniquement d’ajouter des domaines intégrés regroupés sous un seul domaine principal à une application. Un message d’erreur s’affiche si des domaines intégrés provenant de différents domaines principaux sont sélectionnés et ajoutés à la même application.
  1. Cliquez sur Créer une application. Pour plus de détails sur la création d’une application, voir Prise en charge des applications Web d’entreprise, Prise en charge des applications SaaSet Prise en charge des applications client-serveur](/en-us/citrix-secure-private-access/service/spa-support-for-client-server-apps).

Mettre à jour une application existante

Pour ajouter un domaine à une application existante, sélectionnez le domaine dans la liste. Si le domaine contient des domaines intégrés, cliquez sur le signe de développement (>) en ligne avec le domaine principal et sélectionnez les domaines intégrés.

  1. Sélectionnez le domaine intégré qui doit être ajouté à une application.
  2. Cliquez sur Ajouter à une application existante.
  3. Dans Applications, sélectionnez l’application à laquelle vous souhaitez ajouter ces domaines.
  4. Cliquez sur Obtenir les détails de l’application.
  5. Le champ Domaines associés affiche tous les domaines intégrés que vous avez sélectionnés précédemment sur des lignes séparées.
  6. Cliquez sur Terminer.

Mettre à jour une application

Remarque

  • Vous ne pouvez ajouter qu’une adresse IP de destination TCP/UDP à une application TCP/UDP existante. Le champ Applications répertorie uniquement les applications TCP/UDP configurées dans le système.
  • Vous pouvez sélectionner une application HTTP/HTTPS ou TCP/UDP existante pour ajouter des domaines (principaux, à entrée unique ou intégrés) dont le protocole est HTTP/HTTPS.
  • Vous ne pouvez pas sélectionner un domaine déjà associé à une application.

Afficher tous les domaines intégrés sélectionnés

Après avoir sélectionné les domaines, vous pouvez cliquer sur la case à cocher Afficher uniquement la sélection et procéder à la création ou à la mise à jour de l’application. De plus, si la liste des noms de domaine complets/adresses IP sur la page de découverte d’applications s’étend sur plusieurs pages, vous pouvez utiliser la case à cocher Afficher uniquement la sélection pour afficher tous les domaines principaux et intégrés que vous avez sélectionnés pour créer ou mettre à jour l’application. Tous les domaines principaux des domaines intégrés sélectionnés sont affichés lorsque cette case à cocher est sélectionnée.

Afficher les domaines intégrés

Limitations connues

  • Bien que les options Créer une application et Ajouter à une application existante soient disponibles dans le tableau de bord Secure Private Access (graphiquePrincipales applications découvertes par nombre total de visites ), il est recommandé de créer ou de mettre à jour une application à partir de l’onglet Découverte d’applications (Applications > Découverte d’applications). Cela est dû au fait que, lors de l’ajout ou de la mise à jour d’une application depuis le tableau de bord et que vous annulez l’opération, la page est rechargée et par conséquent, tous les paramètres sont réinitialisés.
  • Parfois, vous remarquerez peut-être le signe d’extension (>) par rapport à un domaine principal, mais les domaines intégrés ne sont pas récupérés pour ce FQDN spécifique. Ce problème peut survenir dans les cas suivants :

    • Erreur lors du chargement de la page Web principale en raison de certaines restrictions d’accès pour les utilisateurs.
    • Une erreur empêchant le chargement de la page Web.
    • Mise en cache des ressources de domaine intégrées par Citrix Enterprise Browser, ce qui empêche la récupération des domaines intégrés à partir de la source.
Découvrir les domaines ou les adresses IP auxquels accèdent les utilisateurs finaux